Rechercher :         

Sociétés Prestataires Carnet Formations Progiciels Encyclo Fonds Guide d'achat Téléchargement
Interviews

Régis Rocroy
Directeur du développement
Trustvision

"En interne ? Il faut d'abord traiter les vulnérabilités humaines..."
          

Groupe d'origine française également présent en Belgique, en Grande Bretagne et aux Etats-Unis, Net2s emploie près de 500 personnes qui ont participé à un chiffre d'affaires 2000 de 33,45 millions d'euros. Récemment, la SSII a transformé son pôle sécurité créé en 1999 en une filiale à part entière du nom de Trustvision. Cette dernière intègre également les compétences des experts de la société GPS Consulting rachetée en novembre 2000 par Net2s. A présent, l'effectif de Trustvision se monte à environ 50 personnes spécialisées dans la sécurité des systèmes e-business et m-commerce. En tant que directeur du développement, Régis Rocroy est à la fois chargé de sa stratégie, de la conception de son offre et des aspects commerciaux. Le jour de l'annonce officielle de sa création, il nous présente son entreprise et revient sur certaines des problématiques clefs en matière de sécurité.

Propos recueillis par François Morel le 30 mai 2001 .

JDNet Solutions : Quels vont être les domaines d'activités de Trustvision ?
Régis Rocroy : Nous allons uniquement proposer du conseil et des services, répartis en trois principales gammes complémentaires : la sécurisation des infrastructures réseaux et des systèmes, la sécurité des applications et des transactions e-business, et enfin l'administration des architectures de sécurité. Pour être plus précis, la première ligne concerne la sécurité de l'accès aux réseaux Internet, intranet et extranet, la seconde adresse des problématiques plus spécifiques aux portails et aux places de marché, et la troisième permet de maintenir l'architecture de sécurité à un niveau donné dans le temps. Car la sécurité constitue une activité qui se dégrade dans le temps, et c'est pourquoi il faut la maintenir tout en surveillant son architecture.

Quel est votre positionnement face à des acteurs comme CMG Admiral, HSC et Integralis ?
Nous nous positionnons sur les problématiques de sécurité qui ont un rapport avec l'e-business et le m-commerce (commerce mobile). En comparaison, CMG Admiral est un généraliste qui n'intervient pas que sur des problématiques de sécurité. Integralis est un intégrateur d'origine britannique qui a fusionné avec Artikon, et leur approche est orientée technologie et produits. Enfin, HSC est un cabinet indépendant en France, qui développe une expertise et un savoir
-faire technologique mais n'accompagne pas les clients sur les projets en matière de sécurité. En ce qui nous concerne, nous accompagnons le client de façon complète sur son projet, ce qui suppose une analyse des risques, une assistance dans l'élaboration de la politique de sécurité, la mise en place des architectures adéquates et enfin le contrôle sécurité.

Intervenez-vous aussi sur les risques internes à l'entreprise ? Et sur les risques physiques qui font partie du domaine d'application d'une politique de sécurité globale ?
La demande ne se porte pas sur la sécurité interne, sauf peut-être dans le contexte de la mise en place d'un portail. Ceci dit, nous couvrons tous les actes de malveillance qu'ils soient internes ou externes. Mais nous ne traitons pas les risques physiques dus par exemple aux catastrophes naturelles, à des grèves ou à des pannes d'électricité.

Même si nous intervenons rarement dans ce contexte, nous pouvons aussi aborder les aspects techniques en interne. Mais la meilleure réponse dans ce domaine reste la sensibilisation et non la technologie. Quel que soit le système de sécurité mis en place, un employé qui veut nuire peut facilement le contourner. Et la réponse est rarement technologique. Bien sûr, il est possible de contrôler comment les employés utilisent les ressources informatiques, mais il faut d'abord traiter les vulnérabilités humaines. Aujourd'hui, sur le marché, il existe des sociétés spécialisées comme XP Conseil qui travaillent sur les aspects liés à la sensibilisation des individus. Et la prise en compte des facteurs psychologiques intervient en continuité avec nos services.

En matière d'externalisation par exemple, quels sont les garanties que vous apportez sur votre fiabilité ?
Il existe une différence entre l'externalisation, qui consiste à confier ses systèmes de sécurité à un prestataire, et la démarche de s'attacher les services d'une société comme nous, spécialisée dans la sécurité. Concernant notre fiabilité, l'équipe de Trustvision est composée de personnes connues sur le marché. Sur un plan déontologique, nos spécialistes sont contraints de respecter des clauses très fortes en matière de confidentialité, et qui sont liées à nos prestations à l'égard de nos clients.

Quels besoins identifiez-vous autour du conseil en sécurité des systèmes d'informations ?
Aujourd'hui, les besoins auxquels nous sommes le plus fréquemment confrontés concernent la sécurité des applications e-business. Certaines questions reviennent souvent de la part des clients : "que dois-je faire pour pouvoir administrer la sécurité de mes systèmes ?", "lorsque j'engage des investissements, dois-je tout revoir au bout d'un mois ?", ou même "comment mettre en place une politique de surveillance ?".
D'une manière générale, il faut sécuriser (1) les accès, (2) les échanges et (3) les transactions. Et nous avons regroupé tout cela en lignes de services complémentaires : l'administration des architectures de sécurité, et la sécurisation des applications et transactions e-business.

Quelles différences existe-t-il entre la sécurisation des "échanges" et celle des "transactions" ?
D'abord au sujet des échanges, il s'agit d'assurer la communication au niveau IP à travers un outil VPN (de réseau privé virtuel) qui intègre IPSec. Et au niveau du flux applicatif, c'est la technologie SSL qui va prendre le relais, notamment par le recours au protocole Https.
Ensuite intervient la notion de transaction, qui suppose celle de requête/réponse en temps réel, et consiste pour l'utilisateur à remplir un formulaire et à le faire valider au sein d'un processus. Typiquement, la demande la plus courante ici sera d'assurer l'authenticité et la non répudiation d'un formulaire, notamment par un procédé de signature électronique.

Infrastructure PKI, carte bancaire, token... quel est selon vous le meilleur moyen d'authentification ?
L'infrastructure PKI ne fournit pas un service de sécurité mais gère les clefs et les certificats. Pour signer un formulaires, d'autres technologies sont fournies par des acteurs différents, comme Celocom, racheté par Gemplus, l'éditeur européen d'origine allemande Utimaco, et la société belge Ubizen. Ces éditeurs fournissent des technologies modulaires de signature qui s'appuient sur un PKI, et ce n'est pas le PKI qui permet la signature mais ce composant spécifique.

Si les fournisseurs sont différents à chaque fois, ne pensez-vous pas qu'il soit compliqué de mettre en oeuvre un système d'authentification complet ?
En effet, aujourd'hui, les clients se montrent le plus souvent totalement perdus face à ces technologies différentes et complémentaires. Et nous venons avec ce souci d'apporter une vision globale de la sécurité, qui permette au client de investir de façon plus cohérente et efficace.

L'intégration d'une infrastructure PKI peut s'avérer très laborieuse. Quelles solutions apportez-vous ?
Nous retrouvons les PKI à la fois au niveau de la sécurisation des applications et des transactions. Aujourd'hui, l'intégration de ce type d'infrastructure peut s'avérer très coûteuse pour l'entreprise, aussi bien en terme de conception que de mise en oeuvre. La réponse du marché par rapport à cela réside dans la fourniture de middleware de sécurité, qui sont des modules simples à mettre en oeuvre s'appuyant sur les PKI. L'application au dessus utilise le middleware de sécurité pour chiffrer ou signer, et en dessous la PKI gère les clefs des certificats. Ainsi, l'implémentation dans l'entreprise s'avère beaucoup plus facile.

Selon vous, quels budgets doivent être consacrés à la mise en oeuvre d'une politique de sécurité globale ?
Sur le plan financier, les ordres de grandeurs se situent aux alentours de plusieurs millions de francs pour les grandes entreprises. Derrière, si je devais ventiler un tel budget, je dirais qu'il faut consacrer environ 15 % à l'analyse de risques, 15 % à la définition de la politique de sécurité, 50 % sur l'implémentation de l'architecture, et 20 % sur le contrôle sécurité. Comme nous le voyons, les coûts les plus importants ne sont pas liés à l'acquisition des technologies, mais plutôt à l'administration et à la mise en oeuvre. Il suffit de regarder le salaire annuel moyen d'un responsable de la sécurité des systèmes d'informations, qui est compris en général entre 500 kf et un million de francs.

Quel est le rôle du tiers de confiance et pour quelle part compte-t-il dans le budget ?
Avec un tiers de confiance, il est possible d'externaliser dans de bonnes conditions la gestion des clefs et des certificats. Ces opérateurs de services apportent une réponse lorsque la gestion des cycles de certification est confiée à un tiers. Typiquement, il ne reste plus chez le client que le module d'enregistrement des utilisateurs. Mais un tiers de confiance nécessite des investissements énormes avec des retours à calculer sur plusieurs années. Confier la gestion de sa PKI à un tiers externe nécessite de sa part le fait de posséder des bunkers avec de hauts niveaux de sécurité physique et logique, et la présence de grands acteurs sur ces technologies pour amener la confiance.

Existe-t-il des sociétés d'assurance spécialisées dans le recouvrement des risques en matière de sécurité des systèmes d'informations ?
Aujourd'hui, la question se pose en effet de la couverture des risques d'intrusion, ou même des attaques de déni de service par les sociétés d'assurance. En dehors de France, il existe des réponses proposées par des sociétés comme la Lloyd's en Grande-Bretagne. Mais cela suppose un certain nombre de conditions, comme le fait que l'architecture de sécurité du client soit surveillée en 24/7. Et ici, la Lloyd's signe un partenariat avec une société spécialisée dans les infrastructures de sécurité, qui les surveille en permanence. Mais en France, aucun assureur ne propose de couvrir ce type de risques, hormis dans le domaine des achats sur Internet mais il s'agit d'un sujet différent.

Comment éviter l'existence larvée de failles de sécurité lors d'un développement applicatif ?
Il existe une série de règles simples à respecter, comme le fait de contrôler ce qui peut être saisi dans une URL, à l'intérieur de laquelle il est possible de faire passer des caractères erronés. Et le simple contrôle de cette URL permet d'éviter l'exploitation de vulnérabilités par ce biais. Au total, une bonne vingtaine de règles doivent être respectées au cours d'un développement applicatif. Et avant la mise en production de l'application, il est possible de passer en revue son code à l'aide d'outils capables d'identifier les failles de sécurité.

Vous citiez le m-commerce comme l'un de vos deux principaux domaines d'intervention. Quels sont les risques majeurs liés aux technologies mobiles ?
Les attaques peuvent être lancées sur des terminaux mobiles, sur des cartes à puce ou des plates-formes d'échanges. Pour chacune des cibles, les techniques d'attaques sont différentes. Et je peux vous citer quelques exemples de risques, comme le vol de clefs privées directement sur le terminal, ou même la compromission d'une passerelle de communication. En fait, nous retrouvons toutes les problématiques que nous adressons à travers nos trois lignes de services. Mais les risques seront beaucoup plus importants lorsque le Wap fonctionnera sur GPRS. Car actuellement, le Wap n'est pas mort mais n'est pas non plus très efficace.

Voyez-vous d'autres domaines clefs qui vont émerger en terme de sécurité ?
A part les domaines que nous avons déjà évoqué, ce qui me paraît important est le contrôle du contenu des flux web et mail. Le besoin est déjà très important aujourd'hui, et ce type de contrôle nécessite forcément la définition d'une politique de sécurité, liée au contexte intranet ou extranet et aux flux en question. Or, si ce domaine ne concerne pas l'administration de l'architecture de sécurité, il pose d'autres problèmes notamment en terme de législation. Il faut à la fois prendre en compte les aspects organisationnels, humains, juridiques et techniques pour définir une bonne politique de sécurité. Et ce sont les domaines de compétence des responsables sécurité dans l'entreprise.


A 33 ans, Régis Rocroy est le directeur du développement de Trustvision, filiale du groupe Net2s qu'il a intégré en janvier 2001. A l'issue d'une double formation technique et commerciale, il a piloté durant 6 ans des projets de migration en environnements hétérogènes et distribués pour le compte d'intégrateurs réseaux et systèmes. Pendant 4 ans, au sein du cabinet XP Conseil, il a mené de nombreuses missions de conseil et d'audit sécurité pour de grandes entreprises. Son expérience et son expertise lui permettent à présent d'aborder la sécurité des systèmes d'information et de communication avec une approche globale et cohérente.



Gratuit - L'actualité des technologies
e-business

Toutes nos newsletters
 
 
 
 
 
 
Logiciels libres
Retours d'expérience, panorama, analyses.
Sommaire
 
Failles de sécurité
Vulnérabilités des logiciels & évaluation des risques.
Sommaire
 
 

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles